Protection des infrastructures critiques contre les cyberattaques : identification de trois criminels présumés

Entre le 7 et le 19 juin 2023, plusieurs domaines Internet suisses, dont le site web du Parlement suisse, ont été la cible d'attaques DDoS (Distributed Denial-of-Service) et étaient temporairement indisponibles ou difficilement accessibles. Dans ce contexte, le MPC a ouvert en juin 2023 une procédure pénale contre inconnu pour détérioration de données (art. 144^bis ch. 1 al. 2 CP) et contrainte (art. 181 CP). Au cours de l’instruction, d’autres attaques intenses ont eu lieu, notamment à l’occasion des événements suivants :

• 15 juin 2023 : allocution vidéo du Président ukrainien Volodymyr Zelensky devant l’Assemblée fédérale en Chambres réunies
• 25 novembre 2023 : visite de l’ancien Conseiller fédéral Alain Berset en Ukraine
• 15 – 19 janvier 2024 : World Economic Forum (WEF)
• 15 / 16 juin 2024 : Conférence sur la paix du Bürgenstock
• 20 – 24 janvier 2025 : World Economic Forum (WEF)
• 16 mai 2025 : Concours Eurovision de la chanson

Le groupe "NoName057(16)" a revendiqué l'ensemble des attaques DDoS précitées. Il s’agit d’un groupe d'activistes pro-russes qui, depuis le début de la guerre en Ukraine en mars 2022, mène des attaques DDoS contre de nombreux pays occidentaux qui, selon lui, affichent une position pro-ukrainienne.

Les investigations intensives menées à l’échelle internationale, lancées par fedpol et coordonnées par Europol, ont permis d’identifier trois personnes clés présumées appartenir à ce groupe. Par conséquent, le MPC a étendu la procédure pénale à ces trois personnes et lancé un mandat d’arrêt à leur encontre. Le MPC a l'intention de suspendre la procédure pénale jusqu’à leur arrestation.

Coopération internationale

Dès les premières étapes de l’enquête menées parallèlement aux mesures de défense prises contre les premières attaques, un possible lien avec le groupe actif sur le plan international a été identifié. Au cours des investigations, plus de 200 sites Internet suisses attaqués par le groupe ont pu être identifiés en Suisse, dont plusieurs sites d’unités administratives fédérales, cantonales ou d’exploitants d’infrastructures critiques. Les exploitants des sites Internet victimes des cyberattaques ont été, dans la mesure du possible, informés au préalable par l’Office fédéral de la cybersécurité (OFCS) et ont été soutenus dans leurs mesures de défense.

Dans le cadre de l’Action-Day coordonné par Europol, des interventions policières ont eu lieu dans plusieurs pays pour procéder à des perquisitions, à des saisies d’ordinateurs impliqués dans le réseau ainsi qu’à des arrestations. Pour l’heure, aucun ordinateur impliqué dans le réseau et dans les attaques ni aucune personne domiciliée dans le pays n’ont été identifiés en Suisse.

Ces résultats montrent que les autorités de poursuite pénale sont aussi en mesure d’identifier des cybercriminels hautement professionnels et d’offrir une protection contre leurs attaques. C'est une nouvelle illustration de l’importance de la coopération internationale qui est essentielle pour lutter contre la cybercriminalité transfrontalière. Le MPC et fedpol remercient l'ensemble des partenaires impliqués pour leur bonne et fructueuse collaboration.

Texte original du communiqué de presse en allemand.